giovedì 21 novembre 2019

Ricordate la notizia dei 730 milioni di immagini sanitarie esposte in Internet? Ecco, la situazione è peggiorata



Qualche tempo fa abbiamo riportato una notizia piuttosto allarmante: la società tedesca Greenbone, specializzata in sicurezza dati, vulnerabilità e resilienza dei sistemi, aveva da poco pubblicato un report piuttosto dettagliato sullo stato di sicurezza dei sistemi di storage di immagini diagnostico sanitarie nel mondo.  Dal report è emersa una situazione piuttosto grave tra immagini diagnostiche accessibili senza credenziali, individuabili tramite comuni motori di ricerca e, in alcuni casi, persino scaricabili, che vedeva anche l'Italia maglia nera in Europaper sistemi e numero di immagini esposte. 

A distanza di due mesi Greenbone è tornata a verificare la situazione e, incredibilmente, ha dovuto registrare un netto peggioramento della situazione: le immagini esposte sono salite a 1 miliardo e 19 milioni, oltre il 60% in più. Ne rendiamo i punti salienti, mentre, per chi volesse approfondire, il report completo è disponibile qui.

mercoledì 20 novembre 2019

Città criptate: attacco ransomware coordinato obbliga allo shut down dei sistemi informatici del governo della Louisiana


Lo denunciamo ormai da qualche tempo e la questione viene ribadita da svariati eventi, dei quali potete trovare traccia in alcuni articoli di questo blog: gli attacchi contro istituzioni governative e sanitarie o contro infrastrutture critiche sono in costante crescita. 

L'ultimo episodio, in ordine di tempo, risale giusto a ieri: il governo della Louisiana è stato colpito da un attacco ransomware coordinato su larga scala, che ha costretto il Governo a mettere offline i server di molte agenzie di Stato, compreso il sito del Governo, i sistemi email e le applicazioni interne, al fine di mitigare e impedire la diffusione del ransomware. 

L'attacco è avvenuto Lunedì scorso ed è stato seguito da una sequenza di shut down che ha riguardato larga parte delle agenzie di stato, compreso l'Ufficio del Governatore, la Motorizzazione, il Dipartimento di Salute, il Dipartimento dei servizi ai bambini e alla famiglia, il Dipartimento dei Trasporti e Sviluppo e altri. 

martedì 19 novembre 2019

Nuovi attacchi via Posta Certificata PEC


In questi giorni stiamo assistendo a due nuovi attacchi informatici che vengono ancora veicolati attraverso la Posta Certificata PEC. I malware in questione sono una nuova versione di FTCODE e una nuova versione di sLoad.

FTCODE per Android
Di questa campagna, attualmente in corso, abbiamo parlato ieri qui. La novità rispetto alle campagne precedenti è che i cyber attaccanti si sono dotati di un sistema che garantisce loro di compromettere anche i dispositivi mobile Android. In dettaglio, se l'utente legge l'email e clicca sui link in essa contenuti da un dispositivo Android, si avvia automaticamente  l'installazione di un file .APK denominato PostaElettronicaCertificata.apk. Questo malware, ancora in analisi, permetterà all'attaccante di leggere SMS, chiamate e contatti della rubrica. Ha anche funzionalità di keylogging, la capacità di inviare SMS dal dispositivo infetto e di ricevere istruzioni dal server C&C per svolgere ulteriori attività dannose.

lunedì 18 novembre 2019

Ultimi aggiornamenti sul ransomware FTCODE


Oggi 18 novembre 2019 il CERT-PA ha diffuso un nuovo alert di una nuova campagna di spam volta a diffondere il ransomware FTCODE. Come già in passato per la diffusione del malware viene utilizzata una e-mail PEC con all'interno un unico link. Il link punta ad un file .ZIP, che attualmente si trova su Dropbox, all'interno del quale si trova un file .VBS, che contiene l'eseguibile del ransomware. Il testo dell'email è preso da una precedente conversazione email della vittima, così da indurla a credere di essere di fronte al proseguo di uno scambio già avviato. 

venerdì 15 novembre 2019

Gennaio 2020: Windows 7 e Windows Server 2008 R2 arrivano a fine vita. Che fare?


Dal gennaio 2020 Microsoft non rilascerà più aggiornamenti e patch per i sistemi client Windows 7 e per i sistemi server Windows 2008. La questione non è affatto secondaria, sia perchè risultano ancora milioni gli utenti che utilizzano questi sistemi operativi, ma anche perchè, concentrandoci sull'Italia, oltre il 50% dei computer della pubblica amministrazione esegue ancora Windows 7, mentre il 20% circa dei server utilizza Windows 8 (e qualcuno perfino Windows 2003). 

La nota di Windows, che potete leggere qui, è molto chiara: l'interruzione del supporto per Windows 7 e Server 2008 avverrà il 14 gennaio 2020. Nella stessa nota Windows, oltre a specificare che sta inviando un numero limitato di notifiche agli utenti con questi sistemi operativi (invitandoli all'update a Windows 10), fa sapere anche che, di lì a pochi giorni, anche Office 2010 non riceverà più supporto. 

Fine supporto: che cosa significa? 

mercoledì 13 novembre 2019

Mega Cortex: il ransomware, diffuso anche in Italia, ha una nuova versione


Non abbiamo parlato molto di Mega Cortex, un ransomware che non è mai stato nella "top 10" di questo tipo di malware, ma che comunque è regolarmente distribuito da qualche mese ed ha messo a segno alcune centinaia di infezioni anche nel nostro paese. 

MegaCortex in breve: cosa è, come si diffonde
questo ransomware è stato individuato a Maggio scorso dai ricercatori di sicurezza di Sophos: mira principalmente alle reti e alle workstation aziendali. Una volta penetrati nella rete, gli attaccanti che controllano il ransomware infettano l'intera rete aziendale usando domain controller Windows. La prima versione era distribuita secondo confini geografici precisi: si registrarono casi di infezione negli Stati Uniti, in Canada, in Francia, nei Paesi Bassi, in Irlanda e, come detto, in Italia.  

lunedì 11 novembre 2019

Nuovo data leak per Facebook: sviluppatori esterni accedono a dati sensibili dai Gruppi


Facebook ha reso pubblico qualche giorno fa un altro incidente di sicurezza, ammettendo che oltre 100 sviluppatori di app potrebbero aver avuto accesso ai dati privati degli utenti dai gruppi. In post sul blog (visualizzabile qui) interamente dedicato agli sviluppatori, Facebook ha fatto sapere che gli sviluppatori che possono avere avuto accesso non autorizzato ai dati degli utenti (nome, cognome, foto di profilo ecc...) sono principalmente legati ad app di gestione dei social media e per lo streaming video, che consentono agli admin dei gruppi di gestire gli utenti più efficacemente e aiutare i membri a pubblicare video nei gruppi stessi. 

La nuove norme di sicurezza dati dopo l'affaire Cambridge Analytica
Facebook ha apportato, appena lo scorso anno, alcune pesanti modifiche alla sua API Group sulla scia dello scandalo Cambridge Analytica, dato che quel leak riguardò ben 87 milioni di utenti, la cui privacy fu violata dalla società terza al fine di manipolare le elezioni negli Stati Uniti.

venerdì 8 novembre 2019

Qsnatch: il malware che colpisce (anche in Italia) i dispositivi QNAP


L'alert è di metà Ottobre, ma alcuni casi di infezione in Europa sono stati denunciati soltanto pochi giorni fa: parliamo di Qsnatch, il nuovo malware progettato per colpire soltanto i dispositivi QNAP, scoperto dagli specialisti del National Cyber Security Center Finland (qui l'alert). 

Il record di infezioni in Europa per ora spetta alla Germania, con oltre 7000 dispositivi colpiti, stando ai dati pubblicati proprio dal CERT tedesco, ma si registrano alcune centinaia di casi anche in Italia, come indicato dalla mappa sottostante:

giovedì 7 novembre 2019

FTCODE Ransomware: nuova versione in diffusione in Italia


In passato abbiamo già avuto modo di parlare di FTCODE, un ransomware che prende di mira, esclusivamente l'Italia, soprattutto professionisti e aziende, tramite posta certificata PEC. Le vittime ricevono una email, con un'allegato infetto in formato .ZIP, che reca come oggetto false comunicazioni ufficiali da parte della Pubblica Amministrazione o di altri professionisti / aziende.

Segnaliamo inoltre che alcuni utenti vittime del ransomware hanno denunciato il mancato invio del tool di decriptazione da parte degli attaccanti ANCHE DOPO IL PAGAMENTO del riscatto: consigliamo quindi di NON PAGARE alcuna somma agli attaccanti, perché non c'è garanzia di ricevere il tool.

mercoledì 6 novembre 2019

Anonymous torna all'attacco e ci ricorda le nostre debolezze

di Alessandro Papini - Presidente Accademia Italiana Privacy

Oggi è l'anniversario della congiura delle polveri: per quelli che non hanno dimestichezza con la storia anglosassone ricordo il film V per vendetta. È una ricorrenza spietata per i cosiddetti Hack-tivisti, i gruppi legati ad Anonymous. E, come era prevedibile, il comunicato del 5 novembre non si è fatto attendere (clicca qui per leggerlo integralmente). Voglio soffermarmi su due passaggi fondamendali; il primo: 

"E noi italiani? Continuiamo a litigare per chi "comanda". Per chi ha "più potere". E continuiamo a mandare persone allo sbaraglio politico per noia, rabbia o per dare un "vaffanculo" generale. Destra, sinistra, centro e tutte le possibili combinazioni di partiti, non-partiti, leghe e movimenti. Il risultato rimane lo stesso. Non sono le persone a fallire.  È il sistema." Un altro anno è passato! Un altro anno a ricordare quello che dovrebbe essere un giorno di "liberazione" per il mondo, e non solo per noi Anonymous. Perché il 5 Novembre non è solo il giorno in cui trasmettono V per Vendetta in televisione, ma è un giorno di ribellione. Ribellione contro quegli stati malati, approfittatori, corrotti che ormai sembrano essere un cliché delle nostre nazioni."

martedì 5 novembre 2019

Ancora ospedali criptati, ma anche radio e provider. Ransomware scatenati, nuove vittime eccellenti in U.S.A. e Spagna


Ancora ransomware, ancora città, ospedali, aziende criptate. Qualche tempo fa avevamo tratteggiato un vero e proprio salto di qualità nella diffusione dei ransomware, sopratutto del ransomware Ryuk: non solo pubbliche amministrazioni, ma anche vari "colpi grossi" contro ospedali e scuole. Nonostante le leggi federali e statali emanate appositamente negli Stati Uniti per arginare il fenomeno, gli attacchi non sono affatto cessati. E anzi, si registra un nuovo attacco che ha colpito una istituzione molto importante, il Brooklyn Hospital. Ma arrivano brutte notizie anche dall'Europa, con due gravi attacchi ransomware in Spagna. 

1. Il Brooklyn Hospital perde(irrimediabilmente) i dati dei pazienti in un attacco ransomware
Un attacco ransomware ha colpito i sistemi computerizzati del Brooklyn Hospital Center di New York, causando la perdita PERMANENTE dei dati dei pazienti. I tecnici hanno provato a recuperare i dati, senza successo: questo indica che il riscatto non è ancora stato pagato ai cyber attaccanti. 

Frodi online: le tendenze del secondo trimestre 2019


Nei primi sei mesi di quest’anno gli attacchi che diffondono malware finanziari sono cresciuti dell’80% rispetto allo stesso periodo del 2018. Le tattiche più prolifiche per questo tipo di frodi sono sicuramente il phishing e i financial malware (grafico 1).
Nel secondo trimestre del 2019 sono stati identificati nel mondo 57.406 attacchi fraudolenti. Su questi quelli di phishing sono stati 21.389, circa il 37% di tutti gli attacchi di frode, con un calo del 10% rispetto al trimestre precedente. Il numero complessivo delle cyber frodi globali rilevati da RSA è aumentato del 63% nei primi 6 mesi del 2019 rispetto al 1° semestre dello scorso anno (grafico 2).

giovedì 31 ottobre 2019

21 milioni di credenziali aziendali in vendita nel Dark Web


In vari siti e forum nel Dark Web sono sparsi circa 21.000.000 di credenziali (username e password) nella disponibilità di cyber-criminali disposti a pagare alcuni dollari. Sono credenziali riferite a molteplici società e le più colpite risultano essere quelle del settore tecnologico, finanziario, energetico e sanitario, presenti nella lista Fortune 500, che raccoglie le maggiori società americane per fatturato.
Da un report del sito ImmuniWeb si evince che si tratta di informazioni raccolte, sia in chiaro che craccate, in vari attacchi informatici, e non si tratta di dati vecchi visto che oltre 16.000.000 di queste credenziali sono state rubate nell'ultimo anno.

mercoledì 30 ottobre 2019

Italia sotto attacco: due campagne di spam diffondono via email i ransomware Maze e FTCode


Sono ben due le campagne di email di spam che, in queste ore, stanno bersagliando utenti italiani per diffondere ransomware. La prima campagna di email di spam, individuata dal ricercatore di sicurezza JAMESWT, diffonde il ransomware Maze, mentre la seconda, individuata dal Cert-Pa, veicola una versione rivista di FTCode. In entrambi i casi le email sono "travestite" da comunicazioni ufficiali dell'Agenzia delle Entrate, di Sogei, dell'Inail ecc... Vediamole entrambe in dettaglio

1. FTCode: il ransomware che diventa infostealer
L'alert, l'ennesimo, del Cert-PA riguardante FTCode è di ieri mattina: è stato infatti rilevata una massiva campagna di email di spam che distribuisce una versione rivista del famigerato ransomware. In dettaglio sono state aggiunte funzionalità di infostealing, principalmente per sottrarre username e password salvate in alcuni popolari software come Firefox, Chrome, Outlook, Internet Explorer, Thunderbird. 

martedì 29 ottobre 2019

Unicredit: sistemi violati. Rubati i dati di 3 milioni di clienti


È stata la banca stessa ad annunciare, con questa nota, il gravissimo leak che risalirebbe al 2015: un leak grave per dimensioni e per sensibilità dei dati rubati. Il comunicato di Unicredit è piuttosto spartano, privo di dettagli tecnici.  Parla di un "incidente" che ha coinvolto un file risalente al 2015 e contenente informazioni sensibili di clienti dell'istituto. La buona notizia è che non paiono essere stati sottratti, così afferma Unicredit, le credenziali di accesso dei servizi di home banking, quindi l'Istituto esclude ripercussioni dirette sui conti dei clienti vittime del furto dei propri dati.   

Cosa si sa per adesso
Come detto, i dettagli tecnici sono pochissimi: quel che è certo è che un attaccante sconosciuto è riuscito ad accedere ai server di Unicredit e compromettere un file, creato nel 2015, contenente 3 milioni di record appartenenti esclusivamente a clienti italiani della banca. 

Tra le informazioni sottratte si trovano:

lunedì 28 ottobre 2019

Adobe Creative Cloud data breach: esposti i dati di 7,5 milioni di utenti


Adobe ha messo in sicurezza un database contenente 7.5 milioni di record appartenenti ad utenti Adobe Creative Cloud. Il database Elastichsearch era completamente esposto, accessibile a chiunque senza autenticazione. Fortunatamente, i dati contenuti in questo database non sono dati altamente sensibili, ma possono comunque essere usati per campagne di phishing o altre tipologie di truffe. Ricordiamo comunque che Adobe aveva già subito un data breach, nel 2013: in quel caso finirono esposti dati sensibili come password e informazioni finanziarie, molti dei quali risultano ancora in circolazione. 

Non è chiaro il periodo di tempo durante il quale questi dati sono rimasti esposti ma il ricercatore Bob Diachenko e il giornalista Paul Bischoff, che per primi hanno scoperto il database, affermano che chiunque vi avrebbe potuto accedere per almeno una settimana. Il database è stato individuato nell'ambito di una scansione attiva del web in cerca di database non sicuri. 

venerdì 25 ottobre 2019

Nuova campagna di diffusione del ransomware FTCODE


Ancora allarme per una nuova, massiva, campagna di email di spam finalizzata alla distribuzione del ransomware FTCODE.

FTCode in breve
FTCcode è un ransomware del 2013, scomparso dalle scene per oltre 6 anni: è stato individuato di nuovo in diffusione lo scorso Settembre. In poche settimane ne sono state registrate 3 nuove versioni, con svariate modifiche per risolvere bug e per migliorare la capacità di passare inosservato agli antivirus. Viene diffuso solo contro utenti italiani, tramite massive campagne di email di spam trasmesse tramite il circuito PEC. Mira principalmente ad aziende, pubbliche amministrazioni e professionisti: sono oltre 500 gli account email PEC compromessi usati per la diffusione del ransomware. Ad ora nessuna delle versioni di FTcode è risolvibile. 

La nuova campagna di diffusione

lunedì 21 ottobre 2019

Ransomware Sodinokibi - spiando gli attaccanti: strumenti e tattiche


Di Sodinokibi abbiamo parlato recentemente: è infatti un ransomware molto giovane, emerso quasi in contemporanea con Ryuk, ma che è divenuto in poco tempo uno dei ransomware di punta nello scenario degli strumenti malware. Così protagonista nello scenario dei ransomware da aver determinato un aumento dell'ammontare medio delle richieste di riscatto: concorso di colpa da condividere col "collega" Ryuk.  

Per approdondire >> Dentro Sodinokibi, il Top Ransomware

I ricercatori di McAfee sono riusciti ad esaminare strumenti e tattiche in uso agli affiliati della rete di Sodinokibi il quale, ricordiamo, è un RaaS, un ransomware as a service, ovvero un malware offerto in affitto a soggetti che lo distribuiscono in proprio guadagnando dai riscatti quel che resta dopo aver pagato la quota di affitto agli sviluppatori del ransomware stesso. Ne rendiamo un breve riassunto, utile ad aumentare la consapevolezza e la conoscenza sul mondo dei ransomware e quindi anche su come difendersi.

venerdì 18 ottobre 2019

Google Chrome per Android: introdotta la funzione di sicurezza Site Isolation


Dopo aver abilitato la funzione di sicurezza "site isolation" in Chrome per desktop già da qualche anno, Google ha finalmente introdotto la "linea extra di difesa" anche per gli utenti Android che utilizzano il popolare browser per la navigazione online. Una funzione di sicurezza molto importante, che garantirà un alto livello di protezione sopratutto alle credenziali di login e alle password. 

In breve:
la funzione di sicurezza di Site Isolation crea un confine, una barriera aggiuntiva tra il sito web e lo smartphone, facendo si che pagine da siti web differenti finiscano aperte in differenti processi sandbox. La sandbox è una tecnologia di sicurezza che garantisce di eseguire un software o di visualizzare una pagina web in un ambiente virtuale separato da quello del sistema reale: qualsiasi malware o tentativo di attacco che dovesse avvenire in ambiente sandbox non produrrà quindi effetti sul sistema. 

giovedì 17 ottobre 2019

Campagna di phishing verso clienti Aruba


Non c'è pace per l'Italia in questo periodo: ancora alert, ancora CERT-PA. L'alert è stato diramato nella giornata di ieri e riguarda una campagna di phishing il cui scopo è la sottrazione delle credenziali di carte di credito degli utenti Aruba. Le email truffaldine sono indirizzate verso caselle email della Pubblica Amministrazione e di aziende private. 

L'email è scritta in italiano corretto, senza evidenti errori di sintassi o ortografia che solitamente rendono immediatamente distinguibile un tentativo di phishing. Il Cert-PA ha pubblicato, a titolo esemplificativo, una email campione di questa campagna, visibile sotto: 

lunedì 14 ottobre 2019

Nemty ransomware: nuova versione in diffusione, ma è disponibile il decryptor


Nemty è un nuovo ransomware, individuato in distribuzione la prima volta gli ultimi giorni di Agosto, anche se gli amministratori del malware lo hanno reso noto nei forum del cyber crime ben prima. Il nome deriva direttamente dall'estensione che questo malware aggiunge ai file una volta terminata la routine di criptazione. 

Questi  ransomware è "convolato a nozze" con il temibile Exploit kit RIG, usato come strumento di diffusione efficace e di massa per moltissimi malware "di punta" del monto del cyber crime. In questi giorni è stata individuata in diffusione, sempre tramite exploit kit RIG e insieme ad altri malware, una nuova versione di Nemty, la 1.6. 

La buona notizia è che è stato rilasciato un decryptor che permette alle vittime la risoluzione gratuita dell'infezione. 

Prima le buone notizie: disponibile tool gratuito di decriptazione

venerdì 11 ottobre 2019

Ancora attacchi via PEC: massiva campagna di phishing mira ad aziende e liberi professionisti italiani


Ancora alert da parte del CERT-PA riguardante cyber attacchi mirati contro utenti italiani. E' stata rilevata una vera e propria ondata di email di phishing indirizzata a indirizzi di posta PEC afferenti a strutture pubbliche, private o a soggetti iscritti a ordini professionali. Le email provengono da account PEC precedentemente  compromessi. La campagna è ANCORA IN CORSO. 

Le email fanno riferimento a  false fatture con firma digitale: il formato è .p7m, solitamente usato da professionisti e funzionari della Pubblica Amministrazione che hanno la necessità di inviare progetti o documenti di testo autenticati. Tale formato permette infatti di accertare l'identità di chi lo utilizza e assicura l'integrità del documento: è collegato all'uso della firma digitale.  L'uso di questo formato, del canale PEC e il testo copiato in forma esatta da una comunicazione reale (emessa da Sogei nel Sistema di Interscambio) rendono questa truffa molto molto insidiosa. 

giovedì 10 ottobre 2019

Rilevata nuova variante del ransomware FTCode: l'alert del Cert-PA


Il Cert-PA ha diramato nella giornata di ieri un nuovo alert riguardante il ransomware FTCode, il ransomware diffuso via PEC soltanto contro utenti italiani. Come specificato in precedenti approfondimenti, la versione in diffusione nelle scorse settimane era la stessa diffusa nel 2013 e scomparsa poi dai radar per ben sei anni. Le uniche, piccole modifiche riscontrate riguardavano soltanto comunicazioni aggiuntive con i server di comando e controllo, ma dimostrano comunque un'attività in corso da parte di qualche cyber attaccante sul codice. 

Ieri il Cert-PA ha confermato, segnalando la nuova variante, che c'è un investimento attivo da parte

mercoledì 9 ottobre 2019

Dopo le città criptate, ecco gli ospedali criptati: il ransomware Ryuk scatenato in USA e Australia


Qualche settimana fa avevamo parlato, in ben due approfondimenti, del problema delle "città criptate": in breve era in corso e, incredibilmente lo è tutt'ora, una vera e propria offensiva ransomware (certe volte perfino con attacchi coordinati contro più città o strutture) contro svariate tipologie di istituzioni pubbliche e private statunitensi. Il problema si è fatto così grave da aver costretto, ad esempio, lo Stato della Lousiana a dichiarare emergenza nazionale a Luglio, ma anche l'FBI a diramare svariate informative e alert. Addirittura, poco meno di due settimane fa, il Senato degli Stati Uniti ha approvato una legge ad hoc per arginare il problema dei dilaganti attacchi ransomware. L'ondata di attacchi non solo non si è fermata, ma sta mettendo in ginocchio decine di strutture ospedaliere e sanitarie. 

Un breve riepilogo
- La strage texana di Agosto >> leqqi qui
- Ransomware & città criptate: cosa sta accadendo negli Stati Uniti? >> leggi qui

Cosa sta accadendo?

giovedì 3 ottobre 2019

Ransomware FTCode: arrivano nuovi dettagli e non sono affatto buone notizie


Abbiamo parlato qualche giorno fa di FTCode, un ransomware che viene diffuso via PEC e che è in diffusione soltanto in Italia. Dato che continuiamo a ricevere segnalazioni di infezione e richieste di supporto per la risoluzione della criptazione dei file, torniamo sull'argomento, purtroppo con notizie pessime. 

Un ransomware obsoleto
La prima notizia è che FTCode è un ransomware molto molto vecchio, individuato addirittura nel lontano 2013 e mai risolto, anche perchè per circa 6 anni è come scomparso nel nulla. I nostri tecnici, così come quelli di Bleeping Computer che hanno provveduto ad analisi del codice del ransomware, confermano che l'algoritmo di criptazione non mostra alcuna falla sfruttabile per produrre un tool di risoluzione che possa riportare in chiaro i file. L'analisi dei tecnici di Certego invece ha confermato che è in diffusione la stessa identica variante diffusa nel 2013, con alcune piccolissime modifiche che dimostrano che c'è un attaccante / più attaccanti che stanno aggiornando il codice. Nei giorni scorsi infatti è stata notata l'aggiunta di due nuove richieste ai server di comando e controllo: una per avvisare dell'avvio della criptazione e una per il termine della routine. 

mercoledì 2 ottobre 2019

Aggiornamento di Google Chrome rende impossibile avviare i dispositivi Mac


Sono già migliaia in questi giorni, le segnalazioni di utenti possessori di dispositivi che eseguono macOS riguardanti l'impossibilità di un corretto avvio del sistema operativo. Il caso più eclatante, rimbalzato sui media a livello globale, riguarda il blocco dei Mac Pro utilizzati ad Hollywood per il montaggio delle serie TV. Forse è stato questo macro evento ad aver tratto tutti in inganno ed ad aver fatto pensare che il problema risiedesse nel popolare software di video editing Avid Media Composer, inizialmente l'indiziato numero 1: effettivamente il problema sembrava riguardante soltanto macchine che avevano installato questo programma. In realtà, analisi successive e le segnalazioni, hanno dimostrato come il problema invece sia conseguenza di un aggiornamento del browser Google Chrome. 

Sono stati i tecnici di Google stessi a confermare, dopo segnalazione di Avid, la presenza del bug: questo risiede nella nuova versione della routine di aggiornamento automatico del browser, chiamata Keystone, ed è in grado appunto di corrompere il file system rendendo impossibile l'avvio della macchina. 

giovedì 26 settembre 2019

ALERT: il ransomware FTCODE colpisce in Italia via PEC. Abbiamo già decine di segnalazioni


Ci sono pervenute molteplici segnalazioni e richieste di decriptazione riguardanti un ransomware poco conosciuto, del quale la comunità internazionale dei ricercatori IT ancora non parla probabilmente perchè la diffusione pare essere incentrata principalmente in Italia. Parliamo del ransomware FTCODE, le cui prime tracce di diffusione risalgono all'inizio di questo mese. 

Le informazioni disponibili sono ancora pochissime ne, per adesso, esiste una modalità di decriptazione sicura e il cui risultato renda in chiaro il 100% dei file compromessi. Ad oggi quindi è utile parlarne dando l'allerta e invitando tutti a prestare la massima attenzione. 

I canali di diffusione

lunedì 23 settembre 2019

Antivirus gratis o a pagamento? Quali sono le differenze?


La domanda è: un antivirus free, cioè gratuito, offre lo stesso livello di protezione di un antivirus a pagamento? Se ciò fosse vero, il dubbio sarebbe presto risolto. Perché pagare per ottenere protezione se posso avere lo stesso livello di sicurezza senza pagare?  La realtà è che non è proprio così: ovvero no, gli antivirus gratuiti non offrono la stessa protezione degli antivirus a pagamento. Questa affermazione netta si basa su alcune considerazioni che vogliamo condividere con voi.

I principali vendor...
hanno, praticamente tutti, una loro versione gratuita. Offrono cioè una suite completa (antivirus più ulteriori funzioni aggiuntive) a pagamento e una versione "light" gratuita, spesso composta dal solo antivirus. Qui si ha la prima grande differenza: sono rarissime (se non quasi del tutto assenti) le versioni gratuite che contengano (non in trial, ma integrate nel software antivirus) le funzioni di protezione aggiuntiva al solo antivirus. Limitandosi quindi alla sola funzione antivirus, la differenza tra quelli a pagamento e quelli gratuiti ha a che fare più con il vendor quindi, che con la versione.

Ma le nuove minacce?

venerdì 20 settembre 2019

Emotet si evolve ancora: nuovi template, nuove tecniche di infezione, nuovi sottogruppi di diffusione


Il Cert-Pa ha diramato un nuovo alert riguardante il famigerato malware Emotet, il quale, dopo qualche mese di inattività, ha ripreso le attività di diffusione via campagne di email di spam. Le versioni in diffusione presentano alcune novità, che riteniamo utile approfondire dato che Emotet è in diffusione anche in Italia con specifiche campagne in italiano rivolte contro utenti italiani. 

Il ricercatore di sicurezza Lawrance Abrams ha analizzato email, allegati e catena di infezione di questa nuova ondata, che ha segnato la riattivazione della botnet di Emotet, inattiva ormai da qualche mese. Centrando l'attenzione, sopratutto, sul fatto che Emotet non è più solo un trojan bancario per il furto di credenziali, ma un potente ed efficace distributore di altri malware. 

1. I nuovi template dei documenti di Emotet

giovedì 19 settembre 2019

Nuovo alert CERT-PA: Emotet riprende le operazioni di diffusione, anche in Italia


Il Cert-Pa ha diramato ieri un nuovo alert riguardante il famigerato malware Emotet, il quale, dopo qualche mese di inattività, ha ripreso le attività di diffusione via campagne di email di spam. 

La campagna in corso
La campagna in corso, come detto, è una campagna di email di spam rivolta sia a utenti privati che aziende: è in corso in tutto il mondo, ma le email sono personalizzate in base al paese in cui devono essere distribuite. Sia oggetto che testo che allegato sono creati ad hoc e nel caso dell'Italia, il testo è scritto in italiano piuttosto corretto: l'email presenta contenuti apparentemente legati a problemi finanziari, come fatture scadute ed è organizzata come fosse la prosecuzione di una conversazione precedentemente avviata.  

mercoledì 18 settembre 2019

400 milioni di immagini medico / diagnostiche esposte senza protezione sul web: Italia maglia nera in Europa


Un recente analisi sullo stato dei sistemi di storage di immagini sanitario / diagnostiche ha rivelato come almeno 600 server in 52 diversi paesi siano esposti pubblicamente sul web e alcuni perfino sprovvisti di una forma, anche minima, di protezione contro accessi non autorizzati. L'analisi viene da Greenbone Network, azienda tedesca che si occupa di analisi e gestione di vulnerabilità, e denuncia un problema che qualcuno non ha esitato a definire un "apocalisse privacy". 

Oltre alla denuncia del problema, pubblichiamo qualche dettaglio contenuto nel report in questione, nella convinzione che il miglior metodo per sensibilizzare e finalmente indurre le aziende e le pubbliche amministrazioni a tutelare con serietà e attenzione i dati sensibili e privati degli utenti sia quello di concretizzare con eventi reali un problema che per molti è ancora fumoso o meramente teorico.

lunedì 16 settembre 2019

Permissioni delle App: Google Play ospita 1000 app torcia che richiedono permissioni pericolose


Qualche tempo fa avevamo parlato di servizi VPN per Android e le permissioni da loro richieste: il ricercatore di sicurezza John Mason aveva scoperto infatti che oltre il 62% delle App VPN per Android (anche a pagamento) richiede permissioni eccessive e pericolose rispetto alle funzioni che deve svolgere (e certo, stona ancora di più se teniamo di conto che, almeno in teoria, un servizio VPN dovrebbe garantire proprio la privacy). 


Torniamo sull'argomento per indicare come anche dietro le app apparentemente più innocue, si celino spessissimo permissioni eccessive e pericolose. E' di qualche giorno fa un dettagliato report che ha analizzato circa un migliaio di app per le torce dei nostri smartphone, tutte disponibili al download sul Google Play Store. Anche in questo caso, la situazione è grave:

venerdì 13 settembre 2019

Nuovo alert CERT-PA: tornano le campagne malware via PEC contro privati e professionisti


Pare non esserci pace per l'Italia, bersaglio in questo secondo semestre del 2019 di un grande numero di campagne di distribuzione malware, sopratutto banking trojan, infostealer e ransomware. Dopo l'allarme di pochi giorni fa riguardante centinaia di domini .it Wordpress compromessi per diffondere il malware Gbot, il CERT-PA ha diramato ieri un nuovo alert: una vasta campagna di email di spam sta diffondendo un pericoloso malware. 

Qualche dettaglio tecnico 
La campagna in atto usa il canale di posta certificata PEC per diffondere il malware sLoad, contenuto in allegato entro un archivio in formato .ZIP. Lo schema è del tutto simile ad una campagna già precedentemente analizzata dal CERT-PA (che abbiamo descritto qui) e prende di mira principalmente professionisti e privati. 

giovedì 12 settembre 2019

La truffa via email fa una vittima di eccellenza: rubati 37 milioni di dollari alla Toyota


Il 6 Settembre sul sito ufficiale della Toyota è comparsa una nota, questa, molto vaga ma che fa intendere a grandi linee la questione: a causa di una truffa portata avanti attraverso un account email aziendale compromesso, la Toyota ha subito il furto di 4 miliardi di Yen (circa 37 milioni di dollari). 

La nota non chiarisce molto a livello tecnico, ma si può intendere che siamo in presenza di una classica truffa con la quale sono bersagliate aziende in tutto il mondo (in questo caso una filiale europea dellla Toyota): parliamo della BEC, Business Email Compromise. Alcuni ricercatori di sicurezza hanno messo in relazione l'attacco informatico subito da Toyota lo scorso Marzo, col quale gli attaccanti avevano messo le mani su molti dati aziendali e su quelli di oltre 3 milioni di clienti. 

Dal caso eclatante alla realtà di tutti i giorni

mercoledì 11 settembre 2019

Alert CERT-PA: centinaia di domini .it Wordpress compromessi diffondono malware


Molti ricercatori di sicurezza hanno segnalato una campagna di compromissione di domini WordPress: gli attaccanti ottengono il controllo di domini  con il famoso CMS WordPress che fanno ancora uso di versioni obsolete del plugin "apikey". 

La campagna in corso coinvolge migliaia di domini afferenti a più paesi, ma sono qualche centinaia quelli italiani compromessi, la quasi totalità di proprietà di soggetti privati. L'utente @blackorbird ha reso pubblica già agli inizi di Agosto la lista dei domini compromessi con questa campagna, aggiornata mano a mano: ad ora ammonta a circa 3200 domini. La lista completa, contenente anche i domini .it, è disponibile qui.

martedì 10 settembre 2019

La settimana nera degli exploit kit ci ricorda perchè è fondamentale aggiornare software e sistemi


Nell'ultima settimana, ma anche in questi giorni, sono in corso molteplici campagne di malvertising che colpiscono utenti Windows,  per reindirizzarli verso exploit kit che installano trojan per il furto password, ransomware e altri malware. 

Tra tante, descriviamo tre campagne individuate dal ricercatore indipendente nao_sec, nelle quali malvertising di vario tipo reindirizza gli utenti su landing page compromesse con exploit kit di vario genere. La maggior parte di queste landing page sono ospitate su siti web hackerati appositamente. 

Il trojan bancario Ramnit e GrandSoft EK
Una di queste campagne vede l'exploit kit GrandSoft diffondere il trojan bancario Ramnit, dotato di moduli appositi per il furto password e delle credenziali di banking online, account FTP, account social... ma anche per il furto della cronologia del browser e per l'iniezione di script. 

lunedì 9 settembre 2019

L'exploit kit RIG distribuisce un nuovo ransomware: il debutto di Nemty


Nemty è un nuovo ransomware, individuato in distribuzione la prima volta gli ultimi giorni di Agosto, anche se gli amministratori del malware lo hanno reso noto nei forum del cyber crime ben prima. Il nome deriva direttamente dall'estensione che questo malware aggiunge ai file una volta terminata la routine di criptazione. La novità è che questo ransomware è "convolato a nozze" con il temibile Exploit kit RIG, usato come strumento di diffusione efficace e di massa per moltissimi malware "di punta" del monto del cyber crime. 

Nemty: qualche info tecnica
Come qualsiasi ransomware, anche Nemty cancella le copie shadow sul sistema così da impedire alla vittima la possibilità di recuperare le copie dei file create  dal sistema operativo Windows. Cripta una varietà enorme di tipi di file, aggiungendovi poi l'estensione ._NEMTY_Lct5F3C_.  

giovedì 5 settembre 2019

Campagna di email spam diffonde anche in Italia il malware Astaroth


Il CERT-PA ha diramato stamattina un alert riguardante una campagna di email di spam che diffondono una nuova variante del malware Astaroth.

Astaroth: qualche dato tecnico
Astaroth è un malware finalizzato al furto di dati e credenziali di accesso: ha sia funzioni di spyware che di keylogger (registra cioè tutto ciò che viene digitato sulla tastiera della vittima), grazie alla struttura modulare che gli consente di aggiungere mano a mano funzioni diverse.  Ne sono in diffusione diverse versioni, compresa una fileless che si esegue solo in memoria volatile ed è molto molto difficile da individuare. Individuato nel 2018, colpiva inizialmente solo vittime brasiliane, poi il malware venne impiegato in campagne di diffusione sempre più ampie. 

La campagna in corso
In questa campagna le email di spam hanno tematiche varie e sono distribuite anche in diverse lingue. Sono però tutte accomunate dal fatto che contengono, in allegato, immagini in formato JPG e PNG oppure dei link che eseguono codice Javascript su Clouflare, una nota piattaforma di computing serverless.  La maggioranza di queste comunque contiene il classico archivio .7zip che, a sua volta, contiene un file .INK che avvia la catena di infezione. 

mercoledì 4 settembre 2019

Il ritorno di Emotet: la botnet è di nuovo attiva


Il gruppo dietro il trojan bancario Emotet e relativa botnet è comparso nel 2014 ed è considerato uno dei più longevi del settore del cyber crimine: pur alternando periodi di forte attività a periodi di inattività totale, conta ormai più di 5 anni di vita. In questo lungo periodo Emotet si è costruito una certa fama, balzando poi agli "onori" della cronaca come uno dei "Top 10 Malware" del 2019, confermandosi come un malware estremamente pericoloso. Così pericoloso da indurre il CERT-USA a diramare uno specifico avviso di sicurezza per le aziende nel quale viene definito così:

"Emotet è un trojan bancario polimorfico capace di evadere l'individuazione basata su firma. E' dotato di molteplici metodi per il mantenimento della persistenza, incluso l'auto avvio di servizi e chiavi di registro. Usa librerie DLL modulari per evolvere e aggiornare continuamente le proprie capacità. Inoltre è dotato di strumenti di individuazione delle macchine virtuali e può generare falsi indicatori qualora venga avviato in un ambiente virtuale".

lunedì 2 settembre 2019

Dentro Sodinokibi, il Top Ransomware


Di Sodinokibi abbiamo già parlato in alcune occasioni, ritenendo preoccupante la sua capacità di diffusione nonché il veloce aumento del volume del suo business illegale. Pur relativamente nuovo nella scena ransomware, Sodinokibi ha già infatti costruito una rete piuttosto estesa di affiliati, ponendosi come uno dei probabili successori del famigerato Ransomware GandCrab. 

Parliamo di un ransomware che ha ottenuto riscatti di un ammontare fino a 240.000 dollari, mentre incassa in media, per una infezione di rete, circa 150.000 dollari (al punto che alcuni studi indicano in Sodinokibi e Ruyk i responsabili del lievitare delle richieste di riscatto registrato negli ultimi 4 mesi). E non si è fermato neppure ad Agosto, anzi: Sodinokibi è il ransomware che è stato usato per colpire ben 22 diverse amministrazioni locali in Texas, protagonista del più grande attacco ransomware coordinato mai lanciato contro pubbliche amministrazioni: qui la richiesta di riscatto ammonta complessivamente a 2.5 milioni di dollari. 


Sodinokibi detta le regole del gioco

venerdì 30 agosto 2019

Ransomware & città criptate: la "strage" texana di Agosto


Qualche tempo fa abbiamo scritto un breve articolo che ricapitolava una delle più gravi ondate di attacchi ransomware degli Stati Uniti: municipalità, istituzioni scolastiche, ospedali con parte dei servizi bloccati o sospesi per il down dei sistemi, incapaci o senza i mezzi necessari per risolvere l'infezione e quindi obbligati nella scelta di una drammatica perdita di dati da un lato o del cedimento al ricatto dall'altro. E molte vittime hanno deciso di pagare il riscatto. La situazione si presentava così grave già nel mese di Luglio, al punto da portare lo stato della Lousiana a dichiarare emergenza nazionale. 

La storia si ripete, ma in peggio
Il 16 Agosto oltre 22 enti pubblici sono finiti sotto attacco ransomware: lo ha annunciato direttamente il Governo Texano, parlando di decine di enti i cui sistemi sono finiti bloccati a causa di un attacco ransomware coordinato: protagonista il giovane, ma già famigerato, ransomware Sodinobiki. 

mercoledì 31 luglio 2019

Il ritorno dei ransomware via SMS: Filecoder mira i SO Android


Sono almeno due anni che i ransomware per Android sono in declino, senza nessuna versione nuova degna di nota e senza campagne di diffusione di ampie dimensioni.  Ieri però ESET ha lanciato un alert importante, da tenere in considerazione e che, potenzialmente, indica un cambio di tendenza nel panorama delle minacce ransomware. 

E' stata infatti individuata una nuova famiglia di ransomware pensata appositamente per SO Android, distribuita tramite vari forum online. Usando la lista di contatti delle vittime, questo ransomware si diffonde ulteriormente via SMS: l'intera rubrica della vittima verrà usata per inviare SMS contenenti appunto il link dannoso cliccando il quale si avvia la catena d'infezione. Ad ora l'unica buona notizia è che questo ransomware, ribattezzato Filecoder, ha una diffusione veramente limitata, ma se i suoi sviluppatori dovessero decidere di distribuirlo in campagne più ampie, la minaccia diverrebbe davvero seria. 

martedì 30 luglio 2019

Nuova versione di Trickbot attacca il Microsoft Windows Defender


Continua l'evoluzione del famigerato trojan bancario TrickBot per prevenire l'individuazione e ridurre le possibilità di rimozione dal sistema infetto: la nuova versione, individuata in diffusione nella giornata di ieri, concentra i propri sforzi contro Windows Defender, che è molto spesso l'unico antivirus installato sul computer di utenti che eseguono Windows 10.

Trickbot in breve
TrickBot è un trojan bancario che tenta il furto delle credenziali del banking online, dei portafogli di criptovaluta, le informazioni del browser e altre credenziali salvate sul tuo PC e browser. 

"TrickBot è una famiglia di trojan bancari che ormai è in diffusione da molto tempo, dal 2016: in continua evoluzione si distingue per l'architettura modulare, che gli permette di integrare nuovi moduli per ampliare la gamma delle azioni dannose che può eseguire su un sistema infetto. Ma non solo "commenta Alessandro Papini, Presidente di Accademia Italiana Privacy ed esperto di sicurezza IT "esegue numerose tecniche per garantirsi di restare nascosto agli antivirus e ai servizi di sicurezza in generale. Un malware molto insidioso, al punto che il CISA (il Dipartimento per le Cyber Infrastrutture della Sicurezza nazionale USA) lo ha approfondito in un apposito report-alert pubblicato ad Aprile, rivolto sopratutto alle aziende. La nuova versione rende essenziale, per gli utenti Windows 10, l'introduzione di ulteriori misure di sicurezza: è ormai pratica diffusa quella di limitarsi al solo Windows Defender come strumento di difesa del dispositivo e dei dati, ma, per quanto possa essere solido, questo caso dimostra che occorrono necessariamente più livelli di sicurezza". 

La catena di infezione

venerdì 26 luglio 2019

Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?


Da oltre un mese e mezzo città e istituzioni negli Stati Uniti sono sotto un serrato attacco da parte di ransomware. Lo schema è sempre lo stesso (a parte alcune eccezioni): infettare il sistema della municipalità o dell'istituto scolastico spesso via email, criptare i dati portando al blocco di una lunghissima serie di servizi, richiedere un riscatto molto alto ed aspettare. E, a parte rare eccezioni, quasi tutte le vittime stanno cedendo. 

Difficile dire se vi sia un unico gruppo, oppure se più gruppi stanno attaccando contemporaneamente: quel che è certo è che negli Stati Uniti i ransomware stanno diventando una minaccia alla sicurezza nazionale. Non stiamo scherzando: ad esempio ieri lo Stato della Louisiana ha dichiarato lo stato di emergenza nazionale a causa di un attacco ransomware.  Proviamo a ricostruire una piccola cronologia degli attacchi. 

1. Lo stato della Louisiana dichiara l'emergenza nazionale per attacco ransomware (Luglio)

giovedì 25 luglio 2019

Vulnerabilità dell'RDP BlueKeep: individuata botnet miner in cerca di host vulnerabili


Ricordate BlueKeep, la vulnerabilità critica nell'RDP di Windows così grave da aver indotto Windows a rilasciarne la patch anche per versioni obsolete del sistema operativo Microsoft non più coperte dal supporto. 

Watchbog in breve
In brevissimo si tratta di una botnet interamente dedicata al mining di criptovaluta su dispositivi infetti zombie. Ne sono in circolazione diverse versioni, la quasi totalità delle quali pensate per attaccare e infettare server Linux. La scoperta di una nuova versione con intergrato BlueKeep è la prova lampante del debutto di questo bot nel mondo Windows. 

BlueKeep in Breve

mercoledì 24 luglio 2019

sLoad colpisce ancora: in corso campagna di distribuzione via PEC contro privati e PA italiani


Ennesimo alert da parte del CERT-PA riguardante una nuova campagna di diffusione del malware sLoad. Questa campagna si propaga attraverso i canali PEC e bersaglia sia privati che la Pubblica Amministrazione. 

Le due campagne precedenti
Ormai le campagne di diffusione di sLoad contro utenti italiani non sono affatto una novità. Appena qualche giorno fa ne sono state individuate due:

- una prima, sempre tramite il canale PEC, colpisce privati e professionisti.
Ne abbiamo parlato qui >> ALERT CERT-PA: due campagne in corso in Italia diffondono trojan

- una seconda invece, anch'essa tramite canale PEC, ha bersagliato in dettaglio l'Ordine degli Ingegneri di Roma. Rimandiamo al bollettino specifico diramato dal CERT-PA che dettaglia la campagna >> https://www.cert-pa.it/wp-content/uploads/2019/06/CERT-PA-B003-190610.pdf

La campagna attualmente in corso
Per quanto non sia chiaro se la campagna precedente, la prima alla quale facciamo riferimento nel paragrafo precedente, sia terminata o ancora in corso, ciò che è certo è che la campagna attuale, individuata nella nottata di ieri,  è in corso ed è una terza variante, con leggere differenze rispetto alle precedenti. 

venerdì 19 luglio 2019

ALERT CERT-PA: due campagne in corso in Italia diffondono trojan


Il CERT-PA ha pubblicato due alert riguardanti altrettante campagne di diffusione di trojan rivolte esclusivamente contro utenti italiani

Si tratta, in entrambi i casi, di campagne di email di spam che contengono archivi dannosi contenenti, a loro volta, due diversi malware: Gootkit, che è una vecchia conoscenza, e sLoad. Vediamo nel dettaglio le due campagne, ricordando e ribadendo quanto sia importante essere prudenti (e sfruttare una sandbox) quando si ricevono email inaspettate contenenti link o allegati. 

1. La campagna spam diffonde Gootkit
Questa campagna è caratterizzata da email di spam in lingua italiana indirizzate principalmente alla Pubblica Amministrazione, aventi come oggetto "Internal Error" e contenenti un link che rimanda ad un file ZIP.

mercoledì 17 luglio 2019

I ransomware Ryuk e Sodinokibi fanno lievitare le richieste di riscatto


L'ammontare medio dei riscatti richiesti dopo un attacco ransomware è quasi raddoppiato nel secondo trimestre di quest'anno: i dati indicano che gran parte della responsabilità risiede nei ransomware Ryuk e Sodinokibi

Di questi due malware abbiamo parlato abbondantemente: hanno registrato un consistente incremento dell'attività e bersagliano sia target privati che organizzazioni pubbliche.  E' ovvio che colpire organizzazioni e aziende rende molto più probabile riuscire ad ottenere il pagamento di riscatti molto alti rispetto a colpire utenti home. E il motivo non è soltanto il fatto che le aziende necessitano più urgentemente di rientrare in possesso dei propri file, ma anche che lo stallo operativo conseguente ad un attacco di questo tipo comporta ulteriori costi economici e reputazionali. 

Il duopolio  di Ryuk e Sodinokibi

lunedì 15 luglio 2019

Ransomware: la settimana terribile


La scorsa settimana è stata flagellata dal fenomeno dei ransomware, tra attacchi eclatanti e nuove versioni in diffusione. Rende bene l'idea il report settimanale pubblicato da Bleeping Computer sulle novità riguardanti i ransomware: prima di un lunghissimo elenco di nuove versioni e di infezioni che hanno messo in crisi anche intere città e istituzioni universitarie, troviamo un titolo ad effetto, ma chiaro "under siege", sotto assedio. 

Segnaliamo solo le novità principali e di maggiore risalto, nell'intento di dare un quadro breve, ma chiaro, su quanto il ransomware stia risalendo nella top dei malware dopo un periodo in cui i minier di criptovaluta sembravano destinati a sostituire i "virus del riscatto" nell'armamentario preferito dei cyber criminali. 

In breve:
1. Dharma ransomware: un diluvio di nuove versioni
2. L'exploit Kit RIG "sposa" il ransomware Eris
3. Città e università criptate: come un virus può paralizzare intere istituzioni
4. Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!

giovedì 11 luglio 2019

Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!


I dettagli per la risoluzione del ransomware in fondo all'articolo!

E' stata individuata una nuova famiglia di ransomware che mira specificatamente i NAS (Network Attached Storage) prodotti dalla QNAP System, azienda con sede in Taiwan. I NAS QNAP, basati su Linux, ottimali per home user e piccole imprese, sono unità di archiviazione dati collegate alla rete o tramite Internet: consentono agli utenti di archiviare e condividere i propri dati e backup con più computer. 

QNAPCrypt: come infetta i NAS QNAP
Il nuovo ransomware, scritto in linguaggio GO e soprannominato eCh0raix o QNAPCrypt, è già usato in attacchi reali per infettare e criptare i dati contenuti nei QNAP. I metodi di infezione individuati per adesso sono due:
  • il brute-forcing di NAS QNAP con credenziali deboli;
  • l'exploit di vulnerabilità già conosciute che affliggono svariate versioni dei NAS QNAP tra le quali  QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II e QNAP TS 253B.
Le prime analisi indicano che QNAPCrypt viene usato in attacchi mirati che prevedono l'uso di una chiave pubblica codificata nel codice stesso del malware, compilata per il target specifico con una chiave univoca. 

Le comunicazioni col Server di comando e controllo